4.1 Grundlagen Vor- und Nachteile
|
|
- Maya Albert
- vor 8 Jahren
- Abrufe
Transkript
1 Jeder hat sie und verlieren wir sie, ist der Ärger groß: Ohne unsere persönliche Kennwortliste sind wir inzwischen machtlos. Single Sign-on verspricht ein Ende der Passwortinflation, muss sich aber zugleich immer vielschichtigeren Anforderungen der unternehmerischen Praxis stellen. Erfahren Sie in diesem Kapitel, wie Sie mit SAP NetWeaver in heterogenen Systemlandschaften und über Unternehmensgrenzen hinweg das Konzept der einmaligen Anmeldung erfolgreich umsetzen. 4 Single Sign-on Nahezu alle IT-gestützten Unternehmensprozesse setzen bestimmte Berechtigungen voraus, um Arbeitsabläufe zu kontrollieren und nachvollziehbar zu machen. Gerade in historisch gewachsenen IT- Infrastrukturen findet man daher eine Vielzahl von individuellen Ansätzen der Zugriffsregelungen, was dazu führt, dass die Anzahl der Benutzerkonten je Mitarbeiter durchschnittlich im zweistelligen Bereich liegt und stetig wächst. Verstärkt wird dieser Trend durch die zunehmende Integration von Anwendungen und Systemen bei Partnern, Lieferanten und Kunden. Motivation Der beträchtliche Aufwand, der für die Verwaltung der Benutzerprofile notwendig ist, belastet nicht nur das IT-Budget, sondern bedeutet vor allem auch ein Sicherheitsrisiko im Unternehmen, das oftmals unterschätzt wird. Schnell stellen Anwenderschaft und Management die vielbeschworenen Vorteile einer engen Verzahnung zwischen der IT und Geschäftsprozessen wie Kosteneinsparung und Effizienzsteigerung in Frage, wenn die Sicherheitsmechanismen die Abläufe komplizierter machen, ohne dass eine Steigerung des Sicherheitsniveaus nachweisbar ist. Anwender entwickeln dann schnell Strategien, wie sie die störenden Schutzvorkehrungen umgehen können. Im schlimmsten Fall gefährden sie dabei die Systemsicherheit durch unachtsamen Umgang mit Benutzernamen und Passwörtern und machen sich so ungewollt zum engsten Verbündeten des Angreifers. 163
2 4 Single Sign-on 4.1 Grundlagen Einen Ausweg aus diesem Dilemma versprechen Konzepte, die die Komplexität einer Sicherheitsinfrastruktur aus Sicht des Anwenders und Administrators reduzieren, während sie das Sicherheitsniveau aufrechterhalten oder gar verbessern. Ein prominenter Vertreter dieser Kategorie ist das sogenannte Single Sign-on (SSO). Das Konzept des Single Sign-on beruht auf der Idee, dem Benutzer über eine einmalige Anmeldung den Zugriff auf alle Anwendungen zu ermöglichen, für die er eine Berechtigung besitzt. Die Authentifizierungsdaten aus der Erstanmeldung werden dazu genutzt, ihn ohne erneute Interaktion bei den anderen Anwendungen anzumelden Vor- und Nachteile Arbeitserleichterung und Sicherheitsgewinn Risiken Vergegenwärtigt man sich in diesem Zusammenhang die Ergebnisse der von der Fachzeitschrift InformationWeek durchgeführten Studie IT-Security 2006 (siehe liegen die Vorteile von Single Sign-on klar auf der Hand: Nach Aussage von insgesamt 827 befragten Sicherheitsverantwortlichen verdoppelte sich die Zahl der Fälle von Passwortmissbrauch in den Unternehmen auf 6,8 Prozent gegenüber dem Vorjahr. Der Einsatz von Single Sign-on wirkt dieser Entwicklung entgegen, da sich Benutzer hier nur noch ein Passwort merken müssen, was die tägliche Arbeit mit den Anwendungen im Unternehmen deutlich erleichtert. Die Notwendigkeit zur Pflege der berüchtigten Passwortlisten wird ebenso überflüssig wie die Vergabe identischer Kennworte in allen Systemen eine Maßnahme, die oftmals der letzte Rettungsanker der Anwender im immer dichter werdenden Passwortdschungel ist. Neben der Zeitersparnis durch die einmaligen Authentifizierung ergibt sich noch ein weiterer Sicherheitsgewinn: Das Passwort (oder jede andere Form von geheimer Sicherheitsinformation) wird nur einmal pro Sitzung, nämlich bei der Erstanmeldung übertragen, was das Risiko des Ausspionierens der geheimen Daten erheblich verringert. SSO-Verfahren bergen allerdings auch Risiken: Sollte es einem Angreifer gelingen, in den Besitz der SSO-Authentifizierungsdaten zu gelangen, so erhält er den vollen Zugriff auf alle damit abgesicherten Ressourcen. Die Übertragung der Authentifizierungsdaten sollte daher ausschließlich über verschlüsselte Verbindungen erfolgen. 164
3 Grundlagen 4.1 Auch muss gewährleistet sein, dass die verwendete Methode für die Einmalanmeldung in keinem Fall schwächer ist als die existierenden Mechanismen ohne Single Sign-on. Darüber hinaus entsteht durch die Einführung einer zentralen Authentifizierungskomponente eine kritische IT-Ressource, deren Verfügbarkeit höchste Priorität gewinnt, und die auch unter starker Last nicht selbst zum Sicherheitsrisiko werden darf Lösungsansätze Ein typischer Lösungsansatz für den Aufbau einer SSO-Infrastruktur besteht darin, ein Netz aus vertrauenswürdigen Anwendungen und Diensten zu bilden, die über gemeinsame Authentifizierungsdaten für die Benutzer verfügen. Grundlage dafür ist in der Regel eine Public Key Infrastruktur (PKI, siehe Abschnitt 2.4,»Public-Key-Infrastruktur«), in der sich die Anwendungen über X.509-Zertifikate gegenseitig authentifizieren. Prinzipiell könnte man auch die Benutzer mit Zertifikaten ausstatten, damit diese sich gegenüber den Anwendungen ausweisen. Dagegen sprechen allerdings in den meisten Fällen praktische Erwägungen, da die Verwaltung individueller Benutzerzertifikate in erster Linie einen hohen administrativen Aufwand bedeutet und zudem mit erheblichen Kosten für den Betreiber der PKI verbunden ist. Als leichtgewichtigere Alternative zu Zertifikaten kommen bei den meisten Ansätzen im SSO-Umfeld sogenannte Anmeldecookies zum Einsatz. Ein solches Anmeldecookie wird dem Benutzer nur nach einer zuvor erfolgreich durchgeführten Anmeldung über herkömmliche Mechanismen wie Benutzername und Passwort durch eine zentrale Komponente im Netzwerk ausgestellt, die eine unternehmensweite Sicht über die Identitäten und die ihnen zugeordneten Benutzerkennungen liefert (siehe Abschnitt 5.1.4,»Identity-Management-Systeme«). PKI Anmeldecookies Einmal im Besitz eines gültigen Anmeldecookies, wird es vom Client (z.b. dem Browser des Benutzers) automatisch an die Zielanwendungen übermittelt. Diesen bleibt es nun überlassen, eine Authentifizierungsentscheidung auf der Grundlage der empfangenen Informationen zu fällen. Vertraut die jeweilige Anwendung der durch das Anmeldecookie getroffenen Aussage, dass sich sein Besitzer zuvor erfolgreich an dem zentralen Identity Provider (IdP) angemeldet hat, 165
4 4 Single Sign-on wird dem Benutzer der Zugriff gewährt. Grundsätzliche Voraussetzung dafür ist ein Vertrauensverhältnis zwischen dem Identity Provider und den Anwendungen, das mittels einer PKI und des Austauschs von Zertifikaten außerhalb des eigentlichen Single-Sign-on- Prozesses etabliert werden kann. Ob über den Besitz des Anmeldecookies hinaus noch weitere Informationen vom Benutzer für eine erneute Authentifizierung notwendig sind, bleibt den jeweiligen Anwendungen überlassen. Selbstverständlich muss auch das Anmeldecookie selbst gegen unberechtigten Zugriff und Veränderungen geschützt werden. Gelangt es in die Hände eines Dritten, so darf es diesem nicht möglich sein, sich mit dem Anmeldecookie im Namen seines rechtmäßigen Besitzers bei den für ihn freigegebenen Anwendungen anzumelden. Um dies zu garantieren, werden bei den meisten Verfahren folgende Sicherheitsvorkehrungen getroffen: Dem Anmeldecookie darf wie einem X.509-Zertifikat in der Regel nur eine zeitlich begrenzte Gültigkeit vom Identity Provider bescheinigt werden. Der Identity Provider signiert das Anmeldecookie mit seinem privaten Schlüssel und schützt es so gegen unberechtigte Manipulation. Das Anmeldecookie enthält keine geheimen Anmeldeinformation, wie z.b. das bei der Erstanmeldung verwendete Passwort des Benutzers. Das Anmeldecookie enthält nur die für den Empfänger absolut notwendigen Identitätsinformationen über den Benutzer. Sicherheitskritische Informationen wie Kreditkarten- oder Sozialversicherungsnummern sollten nicht über das Netzwerk übertragen werden. Die Übermittlung des Anmeldecookies zwischen Identity Provider, Benutzer und Zielanwendung erfolgt über eine sichere Verbindung Portale Dem Wunsch der Anwender nach vereinfachten Abläufen wird man jedoch nicht alleine durch eine einmalige Anmeldung gerecht. Vielmehr nimmt der Benutzer eine verbesserte Integration der bestehen- 166
5 Single Sign-on im Intranet 4.2 den Anwendungen durch die Zusammenführung der Benutzungsoberflächen unter einem zentralen Zugriffspunkt wahr. So dienen die Investitionen in eine SSO-Infrastruktur häufig als idealer Wegbereiter für eine weiterführende Konsolidierung der heterogenen Anwendungslandschaft unter einer homogenen Benutzungsoberfläche, die dem Benutzer eine rollenbasierte und personalisierbare Sicht auf alle für ihn relevante Informationen erlaubt. Diese Portale zu den Unternehmensdaten und Applikationen organisieren die einzelnen Anwendungen unter einer einheitlichen Oberfläche und gemeinsamen Navigation in speziellen Unterfenstern, in denen entweder das komplette User Interface oder nur der für den jeweiligen Benutzer wichtige Ausschnitt auf die Funktionalität der Anwendungen angezeigt wird. Im SAP NetWeaver Portal heißen diese Komponenten iviews. Ihr Einsatzgebiet reicht von der einfachen Darstellung einer statischen Webseite bis zur Integration von Anwendungen im Backend. Alle Anwendungen können über die von der Portalsoftware bereitgestellten Basisdienste Daten miteinander austauschen und tragen auf diese Weise zu einer verbesserten Prozessorientierung bei. Selbstverständlich lässt sich über eine manuelle Anmeldung an allen Anwendungen im Portal nicht die Illusion des transparenten Zugriffs auf die heterogene Systemlandschaft im Hintergrund aufrechterhalten. Single Sign-on nimmt daher in Portalen eine zentrale Funktion ein, die sich aber nicht nur auf die einmalige Anmeldung der eigenen Mitarbeiter an den internen Unternehmensanwendungen beschränkt. Neben den klassischen Mitarbeiterportalen haben sich sogenannte Geschäftskunden- und Lieferantenportale etabliert, die sich auf die zwischenbetrieblichen Prozesse im B2B-Sektor (Business-to-Business) konzentrieren. Hier werden über die Infrastruktur des Portals speziell auf die Zielgruppe ausgerichtete Anwendungen, wie beispielsweise Produktkataloge und Trackingsysteme zur Statusverfolgung von Dokumenten oder Gütern, zur Verfügung gestellt, um darüber die Marketing-, Vertriebs- und Serviceprozesse zu optimieren. iviews Portaltypen 4.2 Single Sign-on im Intranet Bei der Einführung von Single Sign-on für die einmalige Anmeldung an Anwendungen im internen Unternehmensnetzwerk (Intranet) 167
6 4 Single Sign-on besteht in der Regel der Vorteil, dass durch existierende Sicherheitsrichtlinien in der Organisation von bestimmten Annahmen bezüglich der Infrastruktur auf den Desktops der Anwender sowie der Serverlandschaft ausgegangen werden kann. So ist beispielsweise unternehmensweit nur ein bestimmter Browser mit einheitlichen Sicherheitseinstellungen im Einsatz. Außerdem sind keine Firewalls zwischen den Desktops und Applikationsservern zu überwinden, die den Einsatz bestimmter Protokolle verbieten und somit die Auswahl der verfügbaren Technologien für Single Sign-on einschränken würden. Darüber hinaus können einheitliche Namenskonventionen dafür sorgen, dass selbst bei Existenz mehrerer Benutzerdatenbanken oder Verzeichnisdienste die Anmeldenamen gleich lauten oder zumindest einem bestimmten Schema folgen, das ein aufwendiges Mapping zwischen den Systemen vereinfacht oder sogar unnötig macht. Auch die Einrichtung von Vertrauensbeziehungen für das Single Sign-on zwischen den Systemen in einem gemeinsamen Verbund macht in Intranet-Szenarien häufig weniger Kopfzerbrechen, da die administrative Hoheit in den Händen einer Organisation liegt. Im Idealfall gehören alle für das Single Sign-on vorgesehenen Systeme einer gemeinsamen technischen Domäne an. Laufen die Anwendungen dann sogar noch auf dem gleichen Server, kann die Bereitstellung von SSO-Funktionalität so einfach funktionieren wie in Abschnitt im Zusammenhang mit J2EE Security Policy Domains beschrieben. Im Zuge der Weiterentwicklung des Unternehmensszenarios wird im Folgenden das SAP Logon Ticket beschrieben, das ursprünglich mit der Entwicklung des mysap.com Workplace eingeführt wurde und ein genau auf die oben beschriebenen Rahmenbedingungen zugeschnittenes SSO-Verfahren in SAP NetWeaver darstellt. Der Einsatz des SAP Logon Tickets in einer heterogenen Systemlandschaft wird im Rahmen des Unternehmensszenarios und der zugehörigen Übung 3 in Abschnitt (»SSO-Integration von AddressBook in das Mitarbeiterportal«) behandelt SAP Logon Ticket Cookies Beim SAP Logon Ticket handelt es sich um ein HTTP-Cookie, dessen Daten digital signiert sind. Neben dem üblichen Verwendungszweck 168
7 Single Sign-on im Intranet 4.2 von Cookies zur Verwaltung von Sitzungsinformationen und zur Überbrückung des zustandslosen Charakters von HTTP eignen sich die temporär im Browser gespeicherten Textdateien auch für die einmalige Anmeldung an mehreren Systemen in einer gemeinsamen Domäne, wie es beim SAP Logon Ticket der Fall ist. Bevor der Benutzer in den Besitz eines solchen Tickets kommt, muss er sich mittels eines der gängigen Authentifizierungsverfahren wie z.b. Benutzername und Passwort oder seinem persönlichen Zertifikat an einem SAP-System anmelden, das für die Ausgabe der Tickets konfiguriert ist. Mit dieser Anmeldeinformation generiert der Server das SAP Logon Ticket und sendet es mit der HTTP Response als Cookie an den Browser zurück. Sofern vom Benutzer keine Einschränkungen im Browser im Umgang mit Cookies in den Sicherheitseinstellungen konfiguriert wurden, wird das SAP Logon Ticket unter dem Namen MYSAPSSO2 im lokalen Cookie-Cache im Browser maximal für die Dauer seiner Gültigkeit gespeichert, die in der Regel auf acht Stunden begrenzt ist. Schließt der Benutzer den Browser vor Ablauf des Verfallsdatums, so wird das Ticket ebenfalls gelöscht. Abbildung 4.1 zeigt die Vergabe des SAP Logon Tickets im HTTP Header mit der Set-Cookie-Direktive nach erfolgreicher Authentifizierung an einem SAP NetWeaver Portal, das typischerweise in einer SAP-Systemlandschaft die Rolle des Ticketausstellers übernimmt. Der HTTP-Datenstrom zwischen Browser und Webserver wurde mithilfe des HTTP-Monitoring-Tools HttpWatch ( aufgezeichnet. Abbildung 4.1 Vergabe eines SAP Logon Tickets (MYSAPSSO2) mit der Angabe Set-Cookie im Header der HTTP Response 169
8 4 Single Sign-on Typisches Einsatzgebiet: Intranet Schutz vor Replay- Attacken Vergleich zu herkömmlichen Methoden Selbstverständlich unterliegt das SAP Logon Ticket wie jedes andere Cookie auch einigen technischen Restriktionen, die aus Gründen des Datenschutzes und der Sicherheit getroffen wurden. Neben der maximalen Größe von 4 KB zählt dazu vor allem, dass der Browser das Ticket nur an das ausstellende System (z.b. portal.mycompany.net) oder an ein benachbartes System in der gleichen DNS- Domäne 1 (z.b. ssologin.mycompany.net) mit jedem weiteren HTTP Request schicken darf. Die Angabe der zulässigen Domäne erfolgt bei der Vergabe des Tickets über das Cookie-Attribut Domain. Daher zählt das Intranet im Unternehmen zu den typischen Einsatzgebieten cookiebasierter SSO-Verfahren wie dem SAP Logon Ticket. Für die Umsetzung von unternehmensübergreifenden SSO-Szenarien bieten sich andere Alternativen an, auf die in Abschnitt 4.3,»Unternehmensübergreifendes Single Sign-on«, im Zusammenhang mit SAML eingegangen wird. Da es in der Natur des Cookies liegt, vom Browser wiederholt mit jedem Request an den Server geschickt zu werden, unterliegt dieser Mechanismus grundsätzlich dem Risiko der unerlaubten Aufzeichnung und Wiedereinspielung des Datentransfers durch Dritte. Konkret könnte eine Kopie des SAP Logon Tickets dafür genutzt werden, sich unberechtigten Zugang zu den geschützten Ressourcen zu verschaffen. Dieser auch als Replay-Attacke bezeichnete Angriff stellt beim Einsatz des SAP Logon Tickets eine ernstzunehmende Bedrohung dar, die nur durch eine Verschlüsselung auf der Transportschicht zwischen dem rechtmäßig autorisierten Client und dem Server verhindert werden kann und sollte. Herkömmliche Authentifizierungsverfahren wie die HTTP Basic Authentication sind jedoch den gleichen Risiken ausgesetzt: Benutzername und Passwort werden mit jedem Request als Base64-codierter String im HTTP-Header ungesichert über die Leitung geschickt. Hier stellt das SAP Logon Ticket im direkten Vergleich eindeutig die sicherere Variante dar, weil es keinerlei Anmeldedaten seines Besitzers enthält. Bewusst wird auch auf die Übermittlung von Passwörtern oder anderer geheimer Daten im Ticket verzichtet, da immer 1 Der Domain Name Service (DNS) ist ein Dienst in TCP/IP-Netzen, dessen Hauptaufgabe die Umsetzung von Host- und Domainnamen in die zugehörigen IP-Adressen ist. Im Internet basiert der DNS auf einer weltweit verteilten, hierarchisch organisierten Datenbank. 170
9 Single Sign-on im Intranet 4.2 von einem zuvor etablierten Vertrauensverhältnis zwischen dem ausstellenden und dem empfangenen System ausgegangen wird. Der Empfänger kann sich darauf verlassen, dass sich der Besitzer des Tickets zuvor ordnungsgemäß beim Herausgeber authentifiziert hat, was dieser durch seine digitale Unterschrift im Ticket beglaubigt. Das passende Zertifikat zum privaten Signaturschlüssel des Ausstellers muss vor dem ersten Anmeldevorgang allen Systemen, die sich mit dem Herausgeber in einem gemeinsamen SSO-Verbund befinden, über einen sicheren Weg zugestellt und installiert werden Verifikation von SAP Logon Tickets in Fremdsoftware Für externe, nicht auf einem SAP-Anwendungsserver betriebene Applikationen stellt SAP eine Verifikationsbibliothek (SAPSSOEXT) zur Verfügung. Die Software liegt als dynamisch ladbare Bibliothek für Windows, einige Unix-Derivate, OS/400 und z/os vor und kann vom SAP Service Marketplace im Software Distribution Center (http//service.sap.com/swdc) unter Download Support Packages and Patches Entry by Application Group Additional Components SAPSSOEXT heruntergeladen werden. Da für die Signatur des Tickets ein Public-Key-Verfahren verwendet wird, benötigt SAPSSOEXT selbst wiederum die SAP-Kryptobibliothek SAPSECULIB, die an gleicher Stelle zum Download zur Verfügung gestellt wird. SAPSSOEXT Mit SAPSSOEXT lässt sich die Gültigkeit eines in der Fremdsoftware empfangenen SAP Logon Tickets überprüfen, d.h. ob die im Ticket enthaltenen Daten als authentisch gelten können. Prinzipiell liefert die Hauptfunktion der Bibliothek daher auch nur eine Antwort mit zwei Optionen zurück: Ein Ticket ist gültig oder nicht. Ausschlaggebend dafür ist der unverfälschte Zustand der im Ticket enthaltenen Daten, der über die Signatur des Ausstellers überprüft wird, sowie ein noch nicht verstrichenes Ablaufdatum. Daraufhin kann das Zielsystem eine im Sinne von Single Sign-on automatisierte Authentifizierungsentscheidung treffen. Fällt die Prüfung negativ aus, liefert ein Fehlercode der Bibliotheksfunktion nähere Informationen zu den Ursachen. Wird das Ticket als gültig betrachtet, werden alle für die Weiterverarbeitung relevanten Daten im Ticket an den Aufrufer zurückgeliefert. Hierzu zählen: 171
10 4 Single Sign-on Benutzername im ausstellenden System Name des ausstellenden SAP-Systems (SID) Verwendetes Authentifizierungsschema (Authentication Schema) bei der Anmeldung am ausstellenden System Gültigkeitsdauer des Tickets in Sekunden Signatur des ausstellenden Systems Der Empfänger des Tickets wird diese Informationen in der Regel dazu nutzen, eine endgültige Authentifizierungsentscheidung noch zusätzlich davon abhängig zu machen, ob das Ticket von einem vertrauenswürdigen System ausgestellt wurde. Findet sich der Name des Ausstellers (Distinguished Name, DN) nicht in einer entsprechenden Zugriffskontrollliste (Access Control List, ACL), sollte dem Benutzer der Zugriff verweigert werden Unternehmensszenario: SSO-Integration einer externen Anwendung in das Mitarbeiterportal Dem Wunsch der Anwender, mithilfe von SAP NetWeaver ein internes Mitarbeiterportal für den zentralen Zugriff auf alle relevanten Anwendungen zu schaffen, leistet das Management von SecureSale Folge. Die mit dem Auftrag für das neue Projekt Mitarbeiterportal formulierten Ziele weisen klar auf, dass insbesondere von den neuen Möglichkeiten einer einmaligen Anmeldung über Single Sign-on Gebrauch gemacht werden soll. Bei einer regelmäßig durchgeführten, internen Umfrage steht der»passwortdschungel«immer wieder ganz oben auf der Liste der Probleme, die den Anwendern die tägliche Arbeit mit den IT-Systemen besonders erschweren. Geradezu explosionsartig hat sich in den vergangenen Jahren die Anzahl der dezentral verwalteten Anwendungen entwickelt. Nicht alle Projekte liefen unter der Leitung der zentralen IT-Abteilung bei SecureSale, was dazu führte, dass externe Berater und Architekten aus den Fachabteilungen die unternehmensweit gültigen Standards für die Benutzerverwaltung nicht immer einhielten. Viele Anwendungen besitzen daher ihre eigene Benutzerdatenbank oder replizieren bestenfalls die Stammdaten aus dem zentralen Benutzerverzeichnis, um sie lokal um eigenen Rollen und Berechtigungen zu ergänzen. Jede neue Anwendung dieser Kategorie bedeutete zugleich einen weiteren Eintrag auf den persönlichen 172
11 Single Sign-on im Intranet 4.2 Passwortlisten der Mitarbeiter. Dies wurde von niemandem begrüßt, bislang aber als notwendiges Übel akzeptiert. Das neue Projekt eröffnet Ihnen nun die Möglichkeit, hier endlich für Ordnung zu sorgen. Stellvertretend für viele dieser Insel-Lösungen steht die Anwendung AddressBook, mit der jeder Mitarbeiter nach den Kontaktdaten seiner Kollegen wie der -Adresse oder Telefonnummer suchen kann. AddressBook besteht aus einer einfachen Suchmaske, in der man entweder den Namen oder die Personalnummer der gesuchten Person einträgt, um deren vollständige Kontaktdaten zu erhalten. Da es sich hierbei aus Sicht des Unternehmens um schützenswerte Daten handelt, ist der Zugriff auf die Anwendung nur Mitarbeitern von SecureSale vorbehalten, die sich entsprechend vor der Nutzung mit einem Benutzername und Passwort über Basic Authentication anmelden müssen. AddressBook Technisch betrachtet ist AddressBook eine auf JSPs und Servlets basierte J2EE-Applikation, die auf dem weit verbreiteten Webcontainer Tomcat der Apache Software Foundation ( betrieben wird. Da noch viele andere innerbetriebliche Anwendungen bei SecureSale diese Ablaufumgebung nutzen, wäre eine Portierung aller Anwendungen auf den SAP NetWeaver Application Server Java trotz Konformität zum J2EE-Standard im ersten Schritt zu aufwendig und würde den sehr knappen Zeitrahmen für das Projekt sprengen. Stattdessen möchten Sie erreichen, dass Anwendungen wie Address- Book in ihrer existierenden Ablaufumgebung in die Lage versetzt werden, von der einmaligen Anmeldung im Mitarbeiterportal über das SAP Logon Ticket zu profitieren. Außerdem sollen keine Änderungen am Quellcode der existierenden Anwendung erforderlich werden, da der damit verbundene Aufwand ebenfalls die Einhaltung der Projektziele hinsichtlich Zeit und Kosten gefährden würde. Für die Integration des neuen, auf dem SAP Logon Ticket basierenden Anmeldeverfahrens entscheiden Sie sich für die Implementierung eines JAAS Login Modules (siehe Abschnitt 3.4.2,»Login- Module und Login-Modul-Stacks), das die externe Verifikationsbibliothek SAPSSOEXT verwendet, um damit die folgenden Aufgaben durchzuführen: Minimal-invasive Integration JAAS mit SAPSSOEXT 173
12 4 Single Sign-on Auslesen des Tickets aus dem Request des Benutzers Überprüfung der digitalen Signatur des Herausgebers Überprüfung der Gültigkeitsdauer des Tickets Moduloptionen Darüber hinaus soll das Login-Modul noch die folgenden Optionen bieten, um wichtige Laufzeitparameter zu konfigurieren sowie ergänzende Sicherheitsprüfungen bei der Authentifizierung vornehmen zu können: trustedissuer Listet vertrauenswürdige Herausgeber auf, deren eindeutiger Name mit dem überlieferten Distinguished Name (DN) im Zertifikat des Tickets verglichen wird. authscheme Legt das für die Anmeldung im Portal zu verwendende Authentication-Schema fest. pab Vollständiger Pfad und Dateiname für das Private Address Book (PAB) mit den öffentlichen Schlüsselzertifikaten der als vertrauenswürdig eingestuften Herausgeber von Tickets. Jedem unter trustedissuer aufgelisteten Herausgeber von Tickets sollte auch ein entsprechendes X.509-Zertifikat zugewiesen sein. Auf diese Weise erhalten Sie ein hochgradig anpassbares und wiederverwendbares Login-Modul, das auch für andere, noch nicht in das Portal integrierte Anwendungen eingesetzt werden kann, vorausgesetzt sie laufen auf einem JAAS-konformen Container. Anwendungsintegration über Filter Die Frage, wie das Login-Modul von den bestehenden Anwendungen möglichst ohne Änderungen aufgerufen und integriert werden kann, blieb bislang noch ungeklärt. Da der Quellcode der Servlets und JSPs nicht verändert werden darf, fällt Ihre Wahl schließlich auf die Erstellung eines Servlet-Filters (siehe Kasten Servlet-Filter), der den Anwendungen im Deployment Descriptor web.xml vorgeschaltet werden kann, um eine entsprechende Authentifizierung der eingehenden Requests vor dem eigentlichen Aufruf der Servlets oder JSPs durchzuführen. 174
13 Single Sign-on im Intranet 4.2 Servlet-Filter Ab der J2EE-Servlet-Spezifikation 2.3 besteht die Möglichkeit, mit den sogenannten Servlet-Filtern auf der konzeptionellen Grundlage des Entwurfsmusters J2EE Decorating Filter ( DecoratingFilter.html) anwendungsübergreifende und wiederverwendbare Prä- bzw. Postprozessoren für den HTTP Request bzw. die HTTP Response zu implementieren. Typische Anwendungsfälle für Servlet-Filter sind Querschnittsfunktionen (Crosscutting Concerns), die nicht die Kernfunktionalität von Anwendungen betreffen. Dazu zählen: Protokollierung (Logging) von bestimmten Zugriffen oder Ereignissen Komprimierung von Daten zur schnelleren Übertragung Aufzeichnung der Verarbeitungsdauer zwischen dem einkommenden Request und der ausgehenden Response zur Messung der Performance Authentifizierung von Requests und weitere Sicherheitsdienste (z.b. Verschlüsselung bzw. Entschlüsselung bestimmter Daten) Servlet-Filter lassen sich deklaratorisch über den web.xml-deployment Descriptor in die Verarbeitungskette des Requests einer Anwendung einbinden, um auf dieses Weise dessen Inhalt zu prüfen und eventuell Modifikationen im Sinne eines Präprozessors durchzuführen. Gleiches gilt für die Response, die ebenfalls vom Filter vor der Auslieferung an den Browser noch nachträglich manipuliert werden kann. Servlet-Filter haben den besonderen Vorteil, dass ihre zusätzliche Funktionalität außerhalb des Quellcodes der sie betreffenden Anwendungen implementiert wird. Sie lassen sich getrennt von den Anwendungen verwalten und dynamisch hinzufügen bzw. wieder entfernen. Jeder Servlet Filter muss dass Java Interface javax.servlet.filter implementieren, das mit drei Methoden den gesamten Lebenszyklus eines Filters definiert: init(filterconfig config) Nimmt die Initialisierung des Filters vor, mit deren Hilfe filterspezifische Konfigurationsparameter über das FilterConfig-Objekt gesetzt werden können. dofilter(servletrequest req, ServletResponse res, Filter- Chain chain) Hier findet die eigentliche Arbeit des Filters mit dem Request (req) bzw. der Response (res) statt. Nach Ausführung der Präprozessor- Tätigkeiten auf dem req-objekt muss mit chain.dofilter(req, res) die Weiterleitung des Requests in der Verarbeitungskette, die über das Interface FilterChain definiert und vom Webcontainer implementiert wird, durch eventuell noch folgende Filter sichergestellt werden. Wenn die Methode chain.dofilter zurückkehrt, kann der Filter bei Bedarf das Response-Objekt noch nachträglich modifizieren. 175
14 4 Single Sign-on destroy() Dient zur Erledigung von Aufräumarbeiten, wenn der Filter aus dem Webcontainer entfernt werden soll, und wird wie init nur einmal im Lebenszyklus aufgerufen. Mit der Integration von AddressBook in das neue Mitarbeiterportal soll der Anmeldeprozess zukünftig wie in Abbildung 4.2 dargestellt ablaufen: Abbildung 4.2 SSO-Integration von externen Anwendungen im Mitarbeiterportal über das SAP Logon Ticket Anmeldeprozess Schritt 1 Der Mitarbeiter meldet sich am Portal mit seinem Benutzernamen und Passwort an. Schritt 2 Nach erfolgreicher Authentifizierung wird dem Mitarbeiter vom Portal ein SAP Logon Ticket mit dem DNS-Domainnamen portal.securesale.com ausgestellt, das innerhalb der Intranet- Domäne securesale.com für die Dauer seiner Gültigkeit (standardmäßig acht Stunden) für den Single Sign-on verwendet werden kann. 176
15 Single Sign-on im Intranet 4.2 Schritt 3 Innerhalb der Portalseiten werden über URL-iViews die Anwendungen auf den entfernten Systemen eingebunden. Der Browser beim Mitarbeiter richtet also den HTTP Request zur Anzeige des Inhalts des iview nicht an den Portal-Server, sondern an andere Systeme im Intranet, im Falle der AddressBook-Anwendung an das System mit dem DNS-Domainnamen tomcat.securesale.com. Da sich tomcat.securesale.com in der gleichen Domäne wie portal.securesale.com befindet, schickt der Browser das in Schritt 2 erhaltene Ticket ebenfalls mit. Schritt 4 Der Servlet Filter SLTAuthenticationFilter ist über die Konfiguration im Deployment Descriptor web.xml der AddressBook- Anwendung in die Verarbeitungskette eingebunden. Listing 4.1 zeigt den entsprechenden Ausschnitt aus der Datei. <web-app>... <filter> <filter-name>sltauthenticationfilter</filter-name> <filter-class> com.securesale.slt.sltauthenticationfilter </filter-class> </filter> <filter-mapping> <filter-name>sltauthenticationfilter</filter-name> <url-pattern>/addressbooksearch</url-pattern> </filter-mapping> <filter-mapping> <filter-name>sltauthenticationfilter</filter-name> <url-pattern>/search.jsp</url-pattern> </filter-mapping>... </web-app> Listing 4.1 Konfiguration des Servlet-Filters SLTAuthenticationFilter im Deployment Descriptor web.xml der AddressBook-Anwendung Im Element <filter> wird unter <filter-class> der vollständige Paket- und Klassenname des Filters angegeben, der mit einem eindeutigen Konfigurationsnamen (SLTAuthenticationFilter) im Element <filter-name> verknüpft wird. Anschließend können über URL-Patterns in Form von <filter-mapping> Einträgen die Filter- Konfiguration 177
16 4 Single Sign-on Servlets oder JSPs angegeben werden, bei denen der Filter aktiviert werden soll. Für die AddressBook-Anwendung sind das die Suchseite (/search.jsp) sowie das durch sie aufgerufene Servlet (/AddressBookSearch), das die eigentliche Suche durchführt. Folglich können Requests diese beiden Komponenten nur dann ungehindert passieren, wenn sie ein gültiges Ticket mit sich führen. Die entsprechende Implementierung der dofilter-methode in der SLTAuthenticationFilter-Klasse finden Sie in Listing 4.2. public void dofilter(servletrequest request, ServletResponse response, FilterChain filterchain) throws IOException, ServletException {... if (request instanceof HttpServletRequest) { // search for the SAP Logon Ticket in the request HttpServletRequest req = (HttpServletRequest) request; HttpSession session = req.getsession(true); Subject subject = (Subject)session.getAttribute( "javax.security.auth.subject"); if (subject == null) { subject = new Subject(); } session.setattribute("javax.security.auth.subject", subject); // pass request with ticket to the SLT login module try { LoginContext lc = new LoginContext("addressBook", subject, new SLTCallbackHandler(req)); lc.login(); } catch (LoginException le) { // Access failed - return HTTP Status 403 HttpServletResponse res = (HttpServletResponse) response; res.senderror(httpservletresponse.sc_forbidden, "Unauthorized Access: No valid SSO Ticket found"); return; } } else logger.debug("sltauthenticationfilter only accepts HTTP Requests!"); 178
17 Single Sign-on im Intranet 4.2 } filterchain.dofilter(request, response); Listing 4.2 Implementierung der dofilter-methode im SLTAuthenticationFilter Um nicht mit jedem eingehenden Request auch ein neues Subject zu erzeugen, wird zunächst in der HTTP Session (session) unter dem Attributnamen javax.security.auth.subject nach einem bereits existierenden Objekt gesucht. Nur wenn dort noch nichts abgelegt ist, wird ein neues Subject erstellt und in die Session geschrieben. Caching des Subjects Die eigentliche Überprüfung delegiert der Filter anschließend an das JAAS Login Module SLTLoginModule, das er über die aus Abschnitt schon bekannte JAAS API mit new LoginContext("addressBook", subject, new SLTCallbackHandler(req)) initialisiert. Der erste Parameter ("addressbook") bezieht sich auf den Namen des Login-Modul-Stacks, dessen Konfiguration bei Tomcat in einer einfachen Textdatei ausgelagert und beim Start des Webcontainers über das Java-VM-Argument -Djava.security.auth.login.config=<Pfad und Dateinamen auf JAAS Konfigurationsdatei> angegeben wird. Listing 4.3 zeigt den Inhalt der Datei jaas.config, in der die Konfiguration zum Login-Modul-Stack addressbook enthalten ist. Dieser enthält in diesem Fall nur einen einzigen Eintrag, das SLTLoginModule, dem das Module Flag required zugewiesen ist. Auf die einzelnen Modul-Optionen wird im Folgenden Bezug genommen. addressbook { com.securesale.slt.sltloginmodule required authschema="basicauthentication" trustedissuer="cn=employee Portal, O=SecureSale Inc." pab="c:\\tmp\\tomcat.pse" pabpwd="secret"; }; Listing 4.3 Inhalt der Tomcat-JAAS-Konfigurationsdatei für das Unternehmensszenario Schritt 5 Das Login-Modul muss sich zunächst das Ticket aus dem Request besorgen. Dazu verwendet es den eigenen Callback Handler SLT- Callback Handler CallbackHandler, der ebenfalls beim Erzeugen des LoginContext im vorherigen Schritt übergeben wurde. STLCallbackHandler kann nur mit einem HTTPServletRequest-Objekt instanziert wer- 179
18 4 Single Sign-on den. Der Grund dafür liegt nahe: Der Callback Handler benötigt den aktuellen HTTP-Request, um dort nach dem Cookie mit dem Namen MYSAPSSO2 zu suchen. Listing 4.4 zeigt die Implementierung der Methode login() aus dem SLTLoginModule. Hier wird auf dem Callback Handler die Methode handle(new Callback[] {nc}) aufgerufen, über die das SAP Logon Ticket im Request gesucht wird. public boolean login() throws LoginException { // check if callback handler is available if (callbackhandler == null) { throw new LoginException(); } // retrieve SAP Logon Ticket from handler and verify it try { // use NameCallback to retrieve SLT value NameCallback nc = new NameCallback("ticket"); callbackhandler.handle(new Callback[] {nc}); if (nc.getname()!= null) this.authuser = verifyslt(nc.getname()); else throw new LoginException(); succeeded = true; } catch (Exception e) { throw new LoginException(); } return succeeded; } Listing 4.4 login-methode im SLTLoginModule NameCallback als Zwischenspeicher Mithilfe des zum Standardumfang der JAAS API gehörenden Callbacks javax.security.auth.callback.namecallback wird das Ticket vom Callback Handler in der NameCallback-Instanz nc zwischengespeichert. Verläuft die Suche erfolgreich, steht das Ticket über nc.getname() im Login-Modul für die eigentliche Überprüfung (Schritt 7) bereit. Doch lohnt sich vorab noch ein tieferer Blick in die Arbeitsweise des Callback Handlers. Schritt 6 Da der HTTP Request bei der Initialisierung des Callback Handlers übergeben und eine Callback-Instanz vom Typ NameCallback im Login-Modul erzeugt wurde, kann nun die vom SLTCallbackHand- 180
19 Single Sign-on im Intranet 4.2 ler implementierte handle()-methode des JAAS-Interface CallbackHandler ihre Arbeit aufnehmen (siehe Listing 4.5): public void handle(callback[] callbacks) throws IOException, UnsupportedCallbackException { NameCallback nc = null; for (int i = 0; i < callbacks.length; i++) { if (callbacks[i] instanceof NameCallback) { nc = (NameCallback) callbacks[i]; } else throw new UnsupportedCallbackException(callbacks[i], "SLTCallbackHandler"); } // extract SAP Logon Ticket from request Cookie[] cookies = request.getcookies(); if (cookies!= null) { String sltcookiename = "MYSAPSSO2"; Cookie slt = null; for (int i = 0; i < cookies.length; i++) { Cookie cookie = cookies[i]; if (sltcookiename.equals(cookie.getname()) && slt == null) slt = cookie; } if (slt!= null) { if (nc!= null) { nc.setname(slt.getvalue()); } } } } Listing 4.5 handle()-methode im SLTCallbackHandler Zunächst wird die vom Login-Modul übergebene NameCallback- Instanz (nc) aus dem callbacks-array gelesen. Die anschließende Suche nach dem SAP Logon Ticket erweist sich als unproblematisch: Mit request.getcookies() erhält man ein Array aller im Request enthaltenen Cookies, das anschließend Eintrag für Eintrag durchsucht wird, wobei der jeweilige Name (cookie.getname()) mit der Bezeichnung MYSAPSSO2 für das SAP Logon Ticket verglichen wird. Trifft der Callback Handler auf das gesuchte Cookie, so scheibt er dessen Wert im NameCallback-Objekt mit nc.set- Name(slt.getValue()) fest. 181
20 4 Single Sign-on Verwendung von SAPSSOEXT Schritt 7 Nun ist das SLTLoginModule in der Lage, das Ticket mit der externen Bibliothek SAPSSOEXT zu überprüfen. Sie verifiziert die Signatur des Tickets und liefert dessen Inhalt, beispielsweise den Benutzernamen, das verwendete Authentication Template bei der Portalanmeldung oder den Namen seines Herausgebers. Die verwendete Wrapper-Klasse SSO2Ticket für die Aufrufe der von SAPSSOEXT bereitgestellten Funktionen ist in Listing 4.6 dargestellt. package com.mysap.sso; public class SSO2Ticket { public static String SECLIBRARY; public static String SSO2TICKETLIBRARY = "sapssoext"; static { if (System.getProperty("os.name").startsWith("Win")){ SECLIBRARY = "sapsecu.dll"; } else { SECLIBRARY = "libsapsecu.so"; } try { System.loadLibrary(SSO2TICKETLIBRARY); } catch (Throwable e) { logger.error("error during initialization of SSO2Ticket: " + e.getmessage()); } } public static native synchronized boolean init(string seclib); public static native synchronized String getversion(); public static native synchronized Object[] evallogonticket(string ticket, String pab, String pab_password) throws Exception; public static native synchronized String parsecertificate(byte[] cert, int info_id); } Listing 4.6 Java-Wrapper-Klasse SSO2Ticket für die SAPSSOEXT-Bibliothek SSO2Ticket entspricht weitestgehend der Beispieldatei, die mit dem Download der SAPSSOEXT-Bibliothek vom SAP Service Marketplace ausgeliefert wird. Allerdings wurde der Wrapper-Klasse 182
21 Single Sign-on im Intranet 4.2 ihre Paket-Definition com.mysap.sso hinzugefügt, die mit der Bennungen der Funktionen in der Bibliothek übereinstimmt (siehe Kasten Java Native Interface und SAPSSOEXT). Java Native Interface und SAPSSOEXT Für die Einbindung von betriebssystemspezifischen Funktionen oder Methoden in Java, die in einer anderen Programmiersprache wie z.b. C oder C++ entwickelt wurden, stellt das Java Native Interface (JNI) eine standardisierte API zur Verfügung. Zunächst müssen alle Methoden der externen Bibliothek als betriebssystemspezifische Methoden über das Schlüsselwort native in einer Java- Klasse deklariert werden, die später als sogenanntes Wrapper-Objekt für die eigentliche Weiterleitung der Aufrufe an die nativen Bibliotheksfunktionen dient. Damit die Bibliothek auch zur Laufzeit in den Speicher der Java Virtual Machine (VM) geladen wird, empfiehlt sich im statischen Initialisierungsblock der Klasse der Aufruf von System.loadLibrary( "<Bibliotheksname>"). Da sich der static-block wie ein Konstruktor für die Klasse verhält, wird dieser Code auch nur einmal ausgeführt, und zwar beim Laden der Klasse durch den Classloader der VM. Die C/C++-Bibliothek muss sich an bestimmte Namenskonventionen halten, um über JNI einem Java-Programm ihre Dienste als dynamisch ladbare Bibliothek auf der jeweiligen Plattform (z.b. als Dynamic Link Library unter Windows) anbieten zu können. Die Methodennamen in der Bibliothek dürfen nicht einfach den Methodennamen aus der Java-Klasse übernehmen, sondern müssen das Präfix Java tragen, gefolgt von dem vollständigen Paket- und Klassennamen, schließlich dem Methodennamen selbst. Die einzelnen Paketglieder werden mit einem Unterstrich kenntlich gemacht, sodass z.b. aus der als nativ deklarierten Java-Methode invent() in der Klasse Inventor aus dem Paket org.genius die C/C++- Bibliotheksfunktion Java_org_genius_Inventor_invent wird. Die Funktionsnamen der SAPSSOEXT-Bibliothek sind ebenfalls an einen festen Paket- und Klassennamen gebunden. Die Methode evallogon- Ticket zur Überprüfung der Gültigkeit des Tickets ist beispielsweise unter dem Namen Java_com_mysap_sso_SSO2Ticket_evalLogonTicket registriert. Daraus lässt sich ableiten, dass der Klassenname des Wrapper- Objekts SSO2Ticket und der Name seines Pakets com.mysap.sso lauten muss. Befolgt man diese Vorgaben nicht, erhält man bei Aufruf der Bibliotheksfunktionen über die nativen Methoden der Java-Klasse eine Exception vom Typ java.lang.unsatisfiedlinkerror, die mitteilt, das die VM nicht in der Lage war, die gewünschte Methode in der Bibliothek ausfindig zu machen. 183
22 4 Single Sign-on Von zentralem Interesse in SSO2Ticket ist die Prüffunktion eval- LogonTicket, deren Verwendung Listing 4.7 am Beispiel der Methode verifyslt im SLTLoginModule zeigt. private User verifyslt(string ticketvalue) throws LoginException { try { // initialize library if (!SSO2Ticket.init(SSO2Ticket.SECLIBRARY)) { return null; } Object o[] = SSO2Ticket.evalLogonTicket(ticketValue, options.getproperty(option_param_pab), options.getproperty(option_param_pabpwd)); // check if the issuer is trused String ticketissuer = SSO2Ticket.parseCertificate( (byte[]) o[3], ISSUER_CERT_ISSUER); if (!ticketissuer.equals( options.getproperty(option_param_trustedissuer))) { throw new LoginException(); } else // create new user principal User user = new User(); user.setname((string) o[0]); return user; } catch (Exception e) { throw new LoginException("Could not verify the SAP Logon Ticket"); } } Listing 4.7 Methode verifyslt im Login-Modul zur Überprüfung des SAP Logon Tickets Vor der erstmaligen Überprüfung eines Tickets muss die Bibliothek zunächst über SSO2Ticket.init mit einem Verweis auf die zu verwendende Kryptobibliothek (SSO2Ticket.SECLIBRARY) initialisiert werden. Anschließend liefert SSO2Ticket.evalLogonTicket alle benötigten Daten aus dem in ticketvalue übergebenen Wert des MYSAPSSO2-Cookies zurück, sofern folgende Voraussetzungen erfüllt sind: Voraussetzungen Das zur Überprüfung der Signatur benötigte Zertifikat muss im Private Address Book (PAB) vorhanden sein, dessen vollständi- 184
23 Single Sign-on im Intranet 4.2 ger Pfad- und Dateiname als Option pab in der Konfiguration des Login-Moduls (siehe Listing 4.3) angegeben wird. Der Zugriff auf das PAB muss durch das ebenfalls in der Login- Module-Konfiguration angegebene Passwort (Option pabpwd) möglich sein. Das Ticket muss gültig sein, d.h., die im Ticket abgelegten Daten müssen authentisch sein und der im Ticket angegebene Gültigkeitszeitraum darf nicht überschritten worden sein. Das Array o[] beinhaltet bei erfolgreicher Rückkehr der Funktion den strukturierten Inhalt des Tickets. So enthält Index-Position Nummer drei (o[3]) das Zertifikat des Ausstellers als Byte-Array, das über SSO2Ticket.parseCertificate weiter in seine Einzelinformationen zerlegt werden kann. Auf diese Weise lässt sich z.b. der Distinguished Name (DN) des Herausgebers ermitteln und mit dem als vertrauenswürdig eingestuften Namen aus der Login- Modul-Konfigurationsdatei jaas.config (siehe Listing 4.3) vergleichen. Verlaufen auch die zusätzlichen Prüfungen ohne Beanstandungen, kann im letzten Schritt das Benutzerobjekt mit dem Namen des im Ticket übermittelten Subjects (user.setname((string)o[0])) erzeugt werden. Auf die Überprüfung der Existenz des Benutzers in einer lokalen Benutzerverwaltung wird verzichtet, da es jedem Mitarbeiter, der sich ordnungsgemäß über das Portal angemeldet hat, gestattet sein soll, auch das Adressbuch zu nutzen. Schritt 8 Fällt die Authentifizierungsentscheidung positiv aus, kehrt der Aufruf des Login-Modul-Stacks ohne eine LoginException zurück, und der Request wird an die Verarbeitungskette mit filter- Chain.doFilter(request, response) (siehe Listing 4.2) den weiteren Filtern übergeben Schritt 9 Nach Beendigung der Filter-Verarbeitungskette und Verarbeitung des Requests in der AddressBook-Anwendung liefert der SLT- AuthenticationFilter die Response unverändert an den Browser aus. Sie finden den vollständigen Quellcode zur AddressBook-Anwendung inklusive dem Servlet-Filter im Übungsverzeichnis /exercise3_ solution. 185
24 4 Single Sign-on Vertrauensverhältnis Unerlässlich für eine positive Verifizierung des Tickets ist die Etablierung eines Vertrauensverhältnisses auf der Basis einer PKI zwischen der AddressBook-Anwendung und dem Mitarbeiterportal. Dazu ist es notwendig, das Zertifikat mit dem öffentlichen Schlüssel des im Portal für Ticketsignaturen verwendeten Schlüsselpaars dem externen System bekannt zu machen. Wie in Schritt 7 beschrieben, muss dieses Zertifikat über ein sicheres Medium ausgetauscht werden und der dezentral installierten SAPSSOEXT-Bibliothek in Form einer PAB-Datei vorliegen. Diese und weitere Schritte werden in der folgenden Übung beschrieben, die das Szenario in die Praxis umsetzt Übung 3: SSO-Integration von AddressBook in das Mitarbeiterportal In dieser Übung wird die Anwendung AddressBook, wie in Abbildung 4.2 gezeigt, in das SAP NetWeaver Portal integriert. Um die Übung überschaubar zu halten, werden die Einzelschritte zur Erstellung der eigentlichen Anwendung nicht betrachtet; stattdessen wird mit einer bereits fertigen Implementierung gearbeitet. Die folgenden Schritte konzentrieren sich maßgeblich auf die Konfigurationen im Mitarbeiterportal sowie die Integration der SAP-Logon-Ticket-Bibliothek auf dem Apache Tomcat Server. Installation des Apache Tomcat Servers Simulation auf einem Rechner Obwohl das Szenario von zwei separaten Rechnern mit eigenen Domainnamen ausgeht, kann diese Übung auch auf einem Rechner durchgeführt werden. In den folgenden Schritten wird davon ausgegangen, dass die Installation der Ablaufumgebung für die Address- Book-Anwendung, der Apache Tomcat Server, auf demselben System erfolgt, auf dem bereits der AS Java (SAP NetWeaver 7.0) für das Mitarbeiterportal läuft. Um dennoch das Szenario mit zwei unterschiedlichen Domainnamen zu simulieren, fügen Sie bitte die beiden Einträge aus Listing 4.8 der lokalen hosts-datei im Windows-Systemordner C:\WINDOWS\system32\drivers\etc hinzu. Die hosts-datei dient der Zuordnung von Hostnamen und IP-Adressen. 186
25 Single Sign-on im Intranet portal.securesale.com tomcat.securesale.com Listing 4.8 Hostnamen in der hosts-datei zur Simulation des AddressBook- Szenarios auf einem Rechner 1. Laden Sie zunächst die aktuelle Version 5.5.x von Tomcat für Ihre Systemplattform von herunter. Es genügt die binäre Core Distribution ohne den Quellcode, die als ZIP-Archiv vorliegt. Des Weiteren benötigen Sie für dieses Tomcat-Release und die AddressBook-Anwendung ein Java Runtime Environment (JRE) 5.0, das bei Bedarf von downloads/index_jdk5.jsp bezogen werden kann. Tomcat 5.5 und JRE Die Installation von Tomcat ist schnell geschehen: Entpacken Sie das heruntergeladene ZIP-Archiv im gewünschten Zielverzeichnis, von dem aus Sie den Webcontainer starten wollen, z.b. in C:\ Program Files. Dort finden Sie nun ein neues Verzeichnis mit dem Namen apache-tomcat-5.5.x. 3. Um später den sicheren Transport der SAP Logon Tickets zum Webcontainer zu gewährleisten, müssen Sie noch den SSL Connector im Apache Tomcat aktivieren. Öffnen Sie dazu im Ordner apache-tomcat-5.5.x/conf die zentrale Konfigurationsdatei server.xml. SSL in Tomcat aktivieren 4. Suchen Sie die in Listing 4.9 angegebene Stelle in der Datei und entfernen Sie die Kommentarzeichen (<!-- und -->), die das Element <Connector> umschließen. Ergänzen Sie anschließend die fett markierten Einträge, mit denen der vom SSL Connector zu verwendende Schlüssel angegeben wird.... <!-- Define a SSL HTTP/1.1 Connector on port > <Connector port="8443" maxhttpheadersize="8192" maxthreads="150" minsparethreads="25" maxsparethreads="75" enablelookups="false" disableuploadtimeout="true" acceptcount="100" scheme="https" secure="true" clientauth="false" sslprotocol="tls" keyalias="tomcatssl" keystorefile="c:\\program Files\\apache-tomcat \\conf\\tomcat.jks" keystorepass="secret" />... Listing 4.9 SSL-Einstellungen in der Apache-Tomcat-server.xml-Konfigurationsdatei 187
26 4 Single Sign-on 5. Stellen Sie nun noch die folgenden Voraussetzungen für einen reibungslosen Betrieb des SSL-Connectors im Apache Tomcat sicher: Der Java Keystore tomcat.jks ist mit einem gültigen und von einer vertrauenswürdigen Zertifizierungsstelle beglaubigten SSL-Zertifikat im angegebenen Verzeichnis von keystorefile vorhanden und kann mit dem in keystorepass angegebenen Passwort ausgelesen werden. Verwenden Sie dazu entweder die bereits vorbereitete Datei tomcat.jks aus dem Ordner keys/ssl/securesale/tomcat/ des Übungsarchivs, oder folgen Sie den Schritten in Anhang A.2, um die Keystore-Datei und das SSL-Zertifikat selbst zu erstellen. Das Wurzelzertifikat der im Unternehmensszenario eingesetzten Zertifizierungsstelle TrustedCA ist in den Zertifikatsspeicher des lokalen Rechners für vertrauenswürdige Wurzelzertifikate importiert. Folgen Sie dazu der Beschreibung in Anhang A.1.3. Sie können das bereits erstellte Wurzelzertifikat mit dem Dateinamen CA_Cert.crt aus dem Ordner /keys/ca des Übungsarchivs für den Import verwenden. Anschließend akzeptiert die Apache-Tomcat-Instanz auf dem TCP/IP-Port 8443 eingehende SSL-Verbindungen. Test der Tomcat- Installation 6. Sie können den Webcontainer für einen ersten Test starten, indem Sie in das Unterverzeichnis /bin wechseln und dort die Batch-Datei startup.bat (Windows) bzw. das Shell-Script startup.sh (Unix) ausführen. Stellen Sie dabei sicher, dass die Umgebungsvariable JRE_ HOME auf das Hauptverzeichnis Ihrer Java 5.0-Laufzeitumgebung verweist (z.b. C:\Program Files\Java\jre1.5.0_02). 7. Gehen Sie anschließend mit einem Browser auf die Tomcat-Startseite, die Sie nun unter index.jsp, wie in Abbildung 4.3 dargestellt, über SSL erreichen sollten. 188
Martin Raepple. Programmierhandbuch SAP NetWeaver. Sicherheit. Bonn Boston
Martin Raepple Programmierhandbuch SAP NetWeaver Sicherheit Bonn Boston Auf einen Blick Vorwort... 13 1 Einleitung... 15 2 Grundlagen der IT-Sicherheit... 23 3 Authentifizierung und Autorisierung im SAP
MehrEinführung Servlets. JEE Vorlesung Teil 2. Ralf Gitzel
Einführung Servlets JEE Vorlesung Teil 2 Ralf Gitzel ralf_gitzel@hotmail.de 1 Übersicht Wiederholung Hello World Blick in die Details Servlet Programmierung Potentielle Fehler Lernziele Gruppenübung 2
MehrAnleitung zur Integration der /data.mill API in SAP Java Applikationen
Anleitung zur Integration der /data.mill API in SAP Java Applikationen Inhalt 1. Anlage einer HTTP Destination 1 1.1. Anmelden an SAP Cloud Platform 1 1.2. Destination Konfiguration 3 1.3. Eintragen der
MehrMail Integration Solution White Paper
Integration Solution White Paper Inhalt Allgemeine Information... 3 IMAP... 3 Rapid Automation (RA)... 3 RA Agent... 3 RA Solution... 3 Integration Solution... 4 Anwendungsfälle... 5 Download eingehender
MehrEinführung Servlets. JEE Vorlesung Teil 2. Ralf Gitzel
Einführung Servlets JEE Vorlesung Teil 2 Ralf Gitzel ralf_gitzel@hotmail.de 1 Übersicht Wiederholung Hello World Blick in die Details Servlet Programmierung Potentielle Fehler Lernziele Gruppenübung 2
MehrInhalt. Vorwort 13. L.., ',...":%: " j.
Inhalt Vorwort 13 L.., ',...":%: " j. 1. '-.:. ' " '.!. \, : - '. - * T '. ; - J A '.. ' I '",. - ' :'. ",..! :'. " ','. '.. ' t i ' ~ J \ I -.. I. j ' - ' V "!» " J f i " 1 1 * V. " ^ ' ' ' -.» ; ' ',
MehrInstallation SelectLine API
Copyright 2018, SelectLine Software GmbH Alle Rechte vorbehalten! Inhaltsverzeichnis 1 Installation... 2 1.1 SSL-Zertifikat für HTTPS... 3 1.1.1 Innerhalb eines Domänennetzwerkes... 3 1.1.2 Zugriff über
MehrEinführung: Verteilte Systeme - Remote Method Invocation -
Einführung: Verteilte Systeme - - Prof. Dr. Michael Cebulla 11. Dezember 2014 Fachhochschule Schmalkalden Wintersemester 2014/15 1 / 43 M. Cebulla Verteilte Systeme Gliederung 1 2 Architektur RMI Kommunikation
MehrHandbuch für die Erweiterbarkeit
Handbuch für die Erweiterbarkeit Inhalt Pakete für die Erweiterbarkeit... 2 Actions... 2 Items... 2 Itemset... 2 Die UseCaseNewAction... 3 Eigene Shapes... 4 Der Shape Container... 5 User Objects... 6
MehrProgrammierhandbuch SAP NetWeaver* Sicherheit
Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit
MehrJNDI und JAAS am Beispiel des Moduls directoryservices. Adapter für Authentifizierungs- und Verzeichnisdienste der Fiducia
JNDI und JAAS am Beispiel des Moduls directoryservices Adapter für Authentifizierungs- und Verzeichnisdienste der Fiducia Ziel dieses Vortrags Kurzbeschreibung der Verzeichnisdienste, die die Fiducia betreibt
MehrBenutzerauthentifizierung und Zugriffsschutz mit JAAS
Benutzerauthentifizierung und Zugriffsschutz mit JAAS Werner Eberling werner.eberling@mathema.de www.mathema.de Übersicht Altbekanntes kurz erwähnt Java Security Des Kaisers neue Kleider JAAS Zu Ihren
MehrBrowser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist
Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk
Mehri-net HelpDesk Erste Schritte
1 Erste Schritte... 2 1.1 Wie geht es nach dem i-net HelpDesk Setup weiter?... 2 1.2 Desktop- oder Web-Client?... 2 1.3 Starten des Programms... 2 1.4 Anmelden (Einloggen) ist zwingend notwendig... 3 1.5
MehrEIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client
BAB TECHNOLOGIE GmbH EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client Datum: 11. Oktober 2016 DE BAB TECHNOLOGIE GmbH 1 OPTIMALE DATENSICHERHEIT Um bei Internet-Zugriffen auf EIBPORT 3 eine ausreichende Datensicherheit
MehrIdentity & Access Management in Extranet Portal Projekten
Identity & Access Management in Extranet Portal Projekten November 2007 Kontakt: Udo Hochstein CGI GROUP INC. All rights reserved _experience the commitment TM Agenda Einleitung Referenzszenario Referenzarchitektur
MehrServlet-zentrierte Architektur von Web-Anwendungen mit Java Servlets, Java Server Pages (JSPs) und Java Beans
Projekt Entwicklung verteilter Softwaresysteme mit Web Services SoSe 2008 - Java Server Pages und Servlets - 7. April 2008 Verteilte Systeme und Informationssysteme (VSIS) Department Informatik Universität
MehrBestellsoftware ASSA ABLOY Matrix II
Bestellsoftware ASSA ABLOY Matrix II Installationsanleitung Inhalt Einleitung... 2 Erstinstallation... 2 Weitere Installation / Installation im Netzwerk... 3 Fehlerbehandlung... 5 Webserver nicht erreichbar...
MehrKerberos Authentifizierung
Kerberos Authentifizierung Mindbreeze InSpire Version 2017 Summer Release Status: 18. August 2017 Copyright Mindbreeze GmbH, A-4020 Linz, 2017. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen
MehrPraktikum Datenbanken und verteilte Systeme SS Java Server Pages und Servlets -
Praktikum Datenbanken und verteilte Systeme SS 2008 - Java Server Pages und Servlets - Verteilte Systeme und Informationssysteme (VSIS) Department Informatik Universität Hamburg Infrastruktur vsispoolx
MehrStand der Entwicklung von Shibboleth 2
Stand der Entwicklung von Shibboleth 2 5. Shibboleth-Workshop Berlin, 17. Oktober 2007 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht Offizieller Status Kommunikation
MehrDOKUMENTATION. CaptchaAd mit Java. Entpacken und Hochladen. Die Schritte zur Integration des CaptchaAd-Modul im Einzelnen. Informationen von CaptchaAd
CaptchaAd mit Java Stand: 24. September 2012 Damit die Integration von CaptchaAd Ihnen noch leichter fällt, haben wir die notwendigen Schritte in diesem Leitfaden zusammen gefasst. Mit etwas Programmierkenntnissen
MehrSystemprogrammierung. Projekt: Java RMI. Wintersemester 2006 / 2007
Systemprogrammierung Projekt: Java RMI Wintersemester 2006 / 2007 Systemprogrammierung 1. Einleitung 2. Einführung in RPC 3. RMI 4. Code Beispiele 5. Live Vorstellung 6. Ausblick 7. Fazit 2 1. Einleitung
MehrMehr als blosses Desktop-Single-Sign-on
ITMAGAZINE Mehr als blosses Desktop-Single-Sign-on 26. April 2010 - Nicht zuletzt dank verschiedenen optionalen Erweiterungen bietet die Authentifizierungs-Suite v-go von Passlogix deutlich mehr als eine
MehrGrundlagen Internet-Technologien INF3171
Fachbereich Informatik Informationsdienste Grundlagen Internet-Technologien INF3171 Cookies & Sessions Version 1.0 20.06.2016 aktuelles 2 Erweiterungen wir betrachten zwei Erweiterungen: Personalisierung
MehrHandbuch WAS-Extension. Version 1.8.1
Handbuch WAS-Extension Version 1.8.1 grit Beratungsgesellschaft mbh 08.08.2016 WAS-Extension Handbuch Seite 2 von 11 grit GmbH - 2016 Der Inhalt dieses Dokuments darf ohne vorherige schriftliche Erlaubnis
MehrHandy-Synchronisation Inhalt
Handy-Synchronisation Inhalt 1. allgemeine Einstellungen... 2 1.1. Anlegen eines SyncAccounts... 2 1.1.1. Synchronisation über eigenen Exchange-Server... 3 1.1.2. gehostete Synchronisation... 5 1.2. Synchronisations-Einstellungen...
MehrHow to Public key authentication with freesshd
How to Public key authentication with freesshd Enthaltene Funktionen - Umstellung auf Public key authentication - Generierung eines Private keys mit PuTTY Key Generator - Verbindung testen Voraussetzung
MehrZentraler Informatikdienst der TU Wien
Zentraler Informatikdienst der TU Wien Konfiguration von Mozilla Thunderbird 1.5 Installation Die Installationsdatei kann von www.mozilla.com herunter geladen werden. Es wird Ihnen die aktuellste Version
MehrInstallationsanleitung - Command WorkStation 5.6 mit Fiery Extended Applications 4.2
Installationsanleitung - Command WorkStation 5.6 mit Fiery Extended Applications 4.2 Das Softwarepaket Fiery Extended Applications Package v4.2 enthält Fiery Anwendungsprogramme, mit denen Sie bestimmte
MehrS.M. Hartmann GmbH IT Solutions
S.M. Hartmann GmbH 82008 Unterhaching Prager Straße 7 www.smhsoftware.de S.M. Hartmann GmbH IT Solutions Software für den modernen Handel SMH-Connect/400 Version V6.0 Beschreibung SMH-Connect: iseries
MehrSystemanforderungen AI Vergabemanager und AI Vergabeassistent
Inhaltsverzeichnis Systemanforderungen AI Vergabemanager und AI Vergabeassistent Für ASP-Modell Inhaltsverzeichnis Systemanforderungen...2 1. Aufruf der Anwendung... 2 2. Erstmaliger Aufruf und Installation...
MehrSMARTentry Notification
Vario IT-Solutions GmbH SMARTentry Notification Dokumentation 08.04.2016 Installation und Einrichtung von SMARTentry Notification für bestehende und neue SALTO Installationen mit SHIP Schnittstelle. Inhaltsverzeichnis
MehrCOSYNUS Mobile Device Server Version Kurzanleitung MDM Zertifikat erneuern v8501
Handbuch für Administratoren Kurzanleitung APNS Zertifikat erneuern COSYNUS Mobile Device Server Version 8.5.0.0 Kurzanleitung MDM Zertifikat erneuern v8501 Copyright 2003-2014 COSYNUS GmbH Alle Rechte
MehrT:\Dokumentationen\Asseco_BERIT\Schulung\BERIT_LIDS7_Basiskurs\Impo rt_export\beritde_lt_do_20120918_lids7.basisschulung_import_export.
LIDS 7 Import/Export Mannheim, 11.02.2013 Autor: Anschrift: Version: Status: Modifiziert von: Ablage: Christine Sickenberger - Asseco BERIT GmbH Asseco BERIT GmbH Mundenheimer Straße 55 68219 Mannheim
MehrApache HTTP Server Administration
Seminarunterlage Version: 11.07 Copyright Version 11.07 vom 15. Februar 2017 Dieses Dokument wird durch die veröffentlicht. Copyright. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen
MehrKonfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance. Version 2017 Summer Release
Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance Version 2017 Summer Release Status: 27. März 2017 Copyright Mindbreeze GmbH, A-4020 Linz, 2017. All rights reserved. All
MehrServer-Management mit JMX
Server-Management mit JMX Ziel dieses Vortrags JMX als Alternative zu bisherigen Monitoring-Schnittstellen vorstellen Einsatzmöglichkeiten aufzeigen Beispiele für die Umsetzung in JBF-Umgebungen betrachten
MehrAnleitung zur Fleet & Servicemanagement Evatic Schnittstelle
Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Hinweise zur Verbindungseinrichtung zum Evatic Server... 3 3 Konfiguration der docuform
MehrApache Web-Server Systemhandbuch
Apache Web-Server Systemhandbuch Version 2.x 2011-01-13 SEAL Systems Copyright Dieses Dokument, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ohne vorherige schriftliche
MehrInstallations- & Konfigurationsanleitung
Installations- & Konfigurationsanleitung Inhaltsverzeichnis Voraussetzungen... 3 Installation... 4 Schritt für Schritt... 4 Administrationsanleitung... 5 NABUCCO Groupware Rollen... 5 Konfiguration - Schritt
MehrEine Untersuchung der Funktionen des Apache Wicket Webframeworks
Eine Untersuchung der Funktionen des Apache Wicket Webframeworks Seminararbeit von Olaf Matticzk 1 15.01.2016 (c) by synaix 2016 synaix...your business as a service. Agenda 1. Einleitung 2. Webanwendungen
MehrInstallations- und Update-Anleitung für TransportControl v2.8
Installations- und Update-Anleitung für TransportControl v2.8 Stand: 08.04.2019 Autor: S. Karwehl Inhaltsverzeichnis 1. Systemanforderungen 1 1.1. TransportControl Server 1 1.2. TransportControl Browser
MehrMini Servlets. Abschlussprojekt Internetprogrammierung. Stefan Wehr. 17. Juli 2006
Mini Servlets Abschlussprojekt Internetprogrammierung Stefan Wehr 17. Juli 2006 1 Einleitung Zum Abschluss der Vorlesung Internetprogrammierung im Sommersemester 2006 sollen die erworbenen Kenntnisse in
MehrUnified-E Standard WebHttp Adapter
Unified-E Standard WebHttp Adapter Version: 1.5.0.2 und höher Juli 2017 Inhalt 1 Allgemeines... 2 2 Adapter-Parameter in Unified-E... 2 3 Symbolische Adressierung... 3 3.1 ReadValues-Methode... 4 3.2 WriteValues
MehrInhalt. TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5. TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15
Vorwort 13 Einleitung 15 TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5 SSO und verwandte Konzepte Chancen und Risiken Terminologie 1.3.1 Security Assertion 1.3.2 Identity Provider 1.3.3 Security Token Service
MehrHANA CLOUD CONNECTOR
Systemnahe Anwendungsprogrammierung und Beratung GmbH A-1030 Wien, Kölblgasse 8-10/2.OG (Hoftrakt) www.snapconsult.com Tel. +43 1 617 5784 0 Fax +43 1 617 57 84 99 HANA CLOUD CONNECTOR Seite 2 von 9 INHALTSVERZEICHNIS
MehrVivendi TEST-Datenbanken erstellen
Vivendi TEST-Datenbanken erstellen Produkt(e): Kategorie: Vivendi NG, Vivendi PD, Vivendi PEP Datenbanken Version: ab 6.77 Erstellt am: 18.07.2018 Frage: Besteht die Möglichkeit TEST-Datenbanken als Kopie
MehrVAADIN, SPRING BOOT & REST
VAADIN, SPRING BOOT & REST Ein Einstieg für Domino Entwickler Stephan Kopp 1 STEPHAN KOPP Software & Solutions Development Tel.: +49 6182 7869420 Mobil: +49 173 3089806 E-Mail: stephan.kopp@axians.de 2
MehrDokumentation. Elektronische Rechnungsübertragung mit der First Businesspost mittels. Business Connector 4.6
Dokumentation Elektronische Rechnungsübertragung mit der First Businesspost mittels Business Connector 4.6 Customizing des SAP BC für die Übertragung der INVOICE nach 1stbp Nachdem die erste Rechnung an
MehrSMARTentry Notification
Vario IT-Solutions GmbH SMARTentry Notification Dokumentation 18.02.2016 Installation und Einrichtung von SMARTentry Notification für bestehende und neue SALTO Installationen mit SHIP Schnittstelle. Inhaltsverzeichnis
MehrPrüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung
Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung Im Rahmen dieser Prüfung werden vor allem Themen im Bereich Benutzerverwaltung, Datensicherung, Verwaltung von Freigaben
MehrCADEMIA: Einrichtung Ihres Computers unter Windows
CADEMIA: Einrichtung Ihres Computers unter Windows Stand: 30.01.2017 Java-Plattform: Auf Ihrem Computer muss die Java-Plattform, Standard-Edition der Version 7 (Java SE 7) oder höher installiert sein.
MehrInstallationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Zertifikat wird direkt im Kundenbrowser installiert
Installationsdokumentation BKW E-Commerce Zertifikate b2b-energy client Zertifikat 3 Jahre Zertifikat wird direkt im Kundenbrowser installiert 2 / 17 Inhaltsverzeichnis 1. Einführung... 3 1.1. Voraussetzungen...
MehrNeues System an der BO
Datenverarbeitungszentrale Neues email System an der BO Liebe Nutzer des email Dienstes an der BO. Wir haben ein neues Mail System installiert, welches wir vor Inbetriebnahme testen möchten. Dazu bitten
MehrV by WBR1/BFH-TI 2011 by MOU2/BFH-TI
Java-Applets Unterlagen zum Modul OOP mit Java V 3.0 2007 by WBR1/BFH-TI 2011 by MOU2/BFH-TI Java-Applets V3.0 2011 by WBR1&MOU2/BFH- TI Lernziele Die Kursteilnehmer sind in der Lage: Möglichkeiten und
MehrInstallationsanleitung für Haufe Advolux Kanzleisoftware ab Version 2.5 (Windows)
Installationsanleitung für Haufe Advolux Kanzleisoftware ab Version 2.5 (Windows) Verfasser : Advolux GmbH, AÖ Letze Änderung : 17.04.2012 Version : v2 1 Inhaltsverzeichnis 1. Hardware-Voraussetzungen...
Mehrcustomweb Einleitende Informationen Multishop Erstmals Herzlichen Dank für den Kauf dieses Moduls und Ihr entgegengebrachtes Vertrauen.
Einleitende Informationen Multishop Erstmals Herzlichen Dank für den Kauf dieses Moduls und Ihr entgegengebrachtes Vertrauen. Dieses Modul ermöglicht Ihnen über einen PSP-Account mehrere Shops gleichzeitig
MehrKonfiguration von WNA in Oracle Access Manager 11g
Konfiguration von WNA in Oracle Access Manager 11g 1 Dr. Joachim Reising, PROMATIS software GmbH Marc Brenkmann, SüdLeasing GmbH DOAG 2012, Nürnberg, 22. November 2012 Agenda Ausgangssituation Single Sign-On
MehrAutiSta 9.6 AE 10.08.2012 Technische Informationen zur Auslieferung oh 1 / 8. AutiSta 9.6 Technische Informationen zur Auslieferung (T-IzA)
Technische Informationen zur Auslieferung oh 1 / 8 AutiSta 9.6 Technische Informationen zur Auslieferung (T-IzA) Vorbemerkung Dieses Dokument beschreibt die mit AutiSta 9.6 vorgenommenen technischen Änderungen
MehrSingle-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH
Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...
MehrTC CLIENT CERTIFICATES
Inbetriebnahme der Chipkarte TC TrustCenter 2007 Inhalt 1 Vorbereitungen zur 2 Installation der Card-API der Firma Siemens AG 3 Eingabe der Transport-PIN und Vergabe der persönlichen, geheimen Signatur-PIN
MehrJiveSoftware Jive Connector
JiveSoftware Jive Connector Installation und Konfiguration Version 2017 Summer Release Status: 5. Oktober 2017 Copyright Mindbreeze GmbH, A-4020 Linz, 2017. Alle Rechte vorbehalten. Alle verwendeten Hard-
MehrBest Practices WPA2 Enterprise und Radius-SSO
Best Practices WPA2 Enterprise und Radius-SSO Jonas Spieckermann Senior Sales Engineer Jonas.Spieckermann@watchguard.com Grundlage WLAN IEEE 802.11 definiert den Standard für Wi-Fi Netze 2 Frequenzbänder
MehrInstallation und Verbindung mit dem KIRUS.asp System
Benutzerhandbuch Installation und Verbindung mit dem KIRUS.asp System Aus Sicherheitsgründen übersenden wir Ihnen die Passwörter, die Sie für die Installation benötigen nicht per E-Mail. Bitte rufen Sie
MehrNetUSE-SSH-Keymanager 2.12
Benutzerhandbuch Maksim Kabakou - Fotolia.com Revision: 38 Stand: 10. Januar 2014 NetUSE AG Dr.-Hell-Straße 6 D-24107 Kiel Telefon: +49 431 2390 400 http://netuse.de/ Inhaltsverzeichnis 1. Versionsübersicht...3
MehrWeb-basierte Anwendungen: Übung 04, Meilenstein 2
7363 - Web-basierte Anwendungen: Übung 04, Meilenstein 2 Umgang mit dynamischen Webseiten: CGI-Skripte, FCGI-Varianten, Server Side Includes (SSI) 13.04.2005 H. Werntges, FB Informatik, FH Wiesbaden 1
MehrIDL.KONSIS.FORECAST Start der Anwendung :18
IDL.KONSIS.FORECAST Start der Anwendung 16.11.2016 10:18 Inhaltsverzeichnis 1 Vorwort... 3 2 Einführung... 4 2.1 Aufbau des Handbuches... 4 3 Voraussetzungen... 5 3.1 Hard- und Softwarevoraussetzungen...
MehrProbeklausur: Programmierung WS04/05
Probeklausur: Programmierung WS04/05 Name: Hinweise zur Bearbeitung Nimm Dir für diese Klausur ausreichend Zeit, und sorge dafür, dass Du nicht gestört wirst. Die Klausur ist für 90 Minuten angesetzt,
MehrProcess: Installationsleitfaden
Inhaltsverzeichnis 1 Einleitung...4 2 Technische Details...5 2.1 Systemvoraussetzungen...5 2.2 Technischer Support...5 3 Installation von Process...6 3.1 Datenbank und Dokument-Wurzelverzeichnis...7 3.2
MehrWindows Home Server. Einrichten, Optimieren, Fehler beheben THOMAS JOOS
Windows Home Server Einrichten, Optimieren, Fehler beheben THOMAS JOOS Benutzer anlegen und verwalten Info Jedes Benutzerkonto erhält durch den Windows Home Server eine spezielle Kennung, die Sicherheits-ID
MehrRI-SE Enterprise. Easy-Support. Modul: Autoinventarisierung PC-Scan
RI-SE Enterprise Easy-Support Modul: Autoinventarisierung PC-Scan Allgemeine Beschreibung des Modules Dieses neue Modul ermöglicht es Ihnen, vollautomatisch den gesamten PC-Bestand innerhalb Ihres Unternehmens
MehrImplementieren von Klassen
Implementieren von Klassen Felder, Methoden, Konstanten Dr. Beatrice Amrhein Überblick Felder/Mitglieder (Field, Member, Member-Variable) o Modifizierer Konstanten Methoden o Modifizierer 2 Felder und
MehrESTOS XMPP Proxy
ESTOS XMPP Proxy 4.1.12.22953 4.1.12.22953 1 Willkommen zum ESTOS XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Diagnose... 6 1.4 Proxy Dienst... 6 1.5 Server-Zertifikat...
MehrESTOS XMPP Proxy
ESTOS XMPP Proxy 4.1.18.27533 4.1.18.27533 1 Willkommen zum ESTOS XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Diagnose... 6 1.4 Proxy Dienst... 6 1.5 Server-Zertifikat...
MehrInstallationsanleitung für die netzbasierte Variante Ab Version 3.6. KnoWau, Allgemeine Bedienhinweise Seite 1
1 Installationsanleitung für die netzbasierte Variante Ab Version 3.6 Copyright KnoWau Software 2014 KnoWau, Allgemeine Bedienhinweise Seite 1 2 Inhaltsverzeichnis 1 Übersicht... 3 2 Installation... 4
MehrInstrumentierung und Dekodierung
116 Copyright 1996-1998 by Axel T. Schreiner. All Rights Reserved. Instrumentierung und Dekodierung Erweiterung der Grafikklassen Das awt-paket erweitert alle Klassen für Grafikobjekte in java.awt, so
MehrKINDERLEICHT INSTALLIERT
KINDERLEICHT INSTALLIERT Schritt für Schritt Anleitung Inhalt Domain und Hosting Erstellen einer SQL-Datenbank WordPress Download WordPress Konfiguration FTP-Zugang FTP-Programm Upload Installation Domain
MehrQuick Install SQS-TEST /Professional
Quick Install SQS-TEST /Professional sqs.com - Test Center in 3 Schritten installieren - Testprozessautomatisierung (TPA) in wenigen Schritten installieren Application(s) for the Windows operating system.
MehrThemen. Web Service - Clients. Kommunikation zw. Web Services
Themen Web Service - Clients Kommunikation zw. Web Services Bisher: Implementierung einer Java Anwendung und Bereitstellung durch Apache Axis unter Apache Tomcat Java2WSDL Erzeugen einer WSDL-Datei zur
MehrJ a v a S e r v l e t s
J a v a S e r v l e t s Eine Einführung (C) J.M.Joller 1 Inhalt Mitgelieferte Bibliothekselemente Überblick Funktionsweise und Architektur Interaktion Resümee (C) J.M.Joller 2 Überblick Was sind Servlets?
MehrDie Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.
Erste Schritte Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6
MehrRRZK Universität zu Köln. Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows
RRZK Universität zu Köln Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows Inhaltsverzeichnis 1. INSTALLATION 3 2. GRUNDKONFIGURATION 7 3. ERWEITERTE
MehrHandbuch. OpenJDK als alternative Java-Umgebung
Handbuch OpenJDK als alternative Java-Umgebung ARCHIKART Software AG Oberhammerstr. 2 01979 Lauchhammer Telefon (0 35 74) 46 55-0 Telefax (0 35 74) 46 55-11 NL Berlin Maxstr. 3a 13347 Berlin Tel. (030)
MehrUpgrade Szenario SMC 2.5 auf SMC 2.6
Upgrade Szenario SMC 2.5 auf SMC 2.6 Support April 2011 www.avira.de Irrtümer und technische Änderungen vorbehalten Avira GmbH 2011 1 Inhaltsverzeichnis 1. Einleitung... 2 2. Aktualisierung über das Security
MehrInstallation und Konfiguration
Installation und Konfiguration Das BUILDUP Programm besteht aus zwei Teilen: das BUILDUP Programm und das BUILDUP Server Programm. Der BUILDUP Server ist für die Datenhaltung und die Lizenzierung zuständig
MehrSSL-Inspection mit Content-Filter. ZyXEL USG Firewall-Serie ab Firmware Version 4.10. Knowledge Base KB-3506 Juni 2014.
SSL-Inspection mit Content-Filter ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3506 Juni 2014 Studerus AG SSL-INSPECTION MIT CONTENT-FILTER Content-Filter und HTTPS-Websites Der
MehrInstallations- und Update-Anleitung für TransportControl
Installations- und Update-Anleitung für TransportControl Stand: 19.09.2018 Autor: S. Karwehl Inhaltsverzeichnis 1. Systemanforderungen 1 1.1. TransportControl Server 1 1.2. TransportControl Browser UI
MehrInstallationsanleitung für die Anbindung von WinFuhr an ZEDAL
Installationsanleitung für die Anbindung von WinFuhr an ZEDAL Inhaltsverzeichnis ProZEDAL 2 installieren... 2 Zielverzeichnis einstellen... 2 Konfigurationsdatei nicht überschreiben... 3 Integrität testen...
MehrBerechtigungsverwalter 1.0 Installationsanleitung
Berechtigungsverwalter 1.0 Installationsanleitung Copyright Copyright 2008-2012 SharePointBoost Co., Ltd. Alle Rechte vorbehalten. Alle in dieser Veröffentlichung enthaltenen Informationen sind urheberrechtlich
MehrInstallation von Microsoft SQL Server 2014 Express in Verbindung mit Postbuch
Installation von Microsoft SQL Server 2014 Express in Verbindung mit Postbuch Vorbemerkung: Die folgende Anleitung zeigt eine (Referenz-)Installation des Microsoft SQL Server 2014 unter Verwendung des
MehrInhalt. Einführung RFC-Funktionsbausteine in ABAP Funktionsbausteine zum Lesen Aufruf per srfc 108
Einführung 13 3 1.1 SAP NetWeaver Application Server 17 1.1.1 SAP-Lösungen und SAP NetWeaver 18 1.1.2 SAP NetWeaver Application Server ABAP 20 1.1.3 SAP NetWeaver Application Server Java 34 1.2 Sicherheit
MehrRRZK Universität zu Köln. Anleitung zur Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows
RRZK Universität zu Köln Anleitung zur Installation und Konfiguration der Spectrum Protect (TSM) Client-Software unter dem Betriebssystem Windows Inhaltsverzeichnis 1. INSTALLATION 3 2. GRUNDKONFIGURATION
MehrPraktikum Datenbanksysteme. Ho Ngoc Duc IFIS - Universität zu Lübeck 01.06.2005
Praktikum Datenbanksysteme Ho Ngoc Duc IFIS - Universität zu Lübeck 01.06.2005 Tomcat-Installation $JAVA_HOME (z.b. /home/dbp00/j2sdk1.4.2) $CATALINA_HOME (/home/dbp00/jakarta-tomcat-4) Skripte zum Start/Stop:
MehrMathematik Seminar WS 2003: Simulation und Bildanalyse mit Java. Software-Architektur basierend auf dem Plug-in-Konzept
Mathematik Seminar WS 2003: Simulation und Bildanalyse mit Java Software-Architektur basierend auf dem Plug-in-Konzept Aufteilung: Probleme mit normaler/alter Software Ziele des Software Engineerings Die
MehrTipps und Hinweise zum Bezug der Beitragssatzdatei V5.0
Tipps und Hinweise zum Bezug der Beitragssatzdatei V5.0 Die Beitragssatzdatei in der Version 5.0 wird nur über https Download auf einer frei zugänglichen Webseite auf den folgenden Seiten bereitgestellt.
MehrJaneva:.NET meets J2EE
Inhalt: Motivation Was ist Janeva? Systemvoraussetzungen Installation Beispiel Converter Fazit Motivation Motivation: Janeva testen einen Überblick verschaffen Lauffähiges Beispiel Entscheidungshilfe über
Mehr